O grupo de hackers, rastreado sob nomes como APT29, Cozy Bear e Midnight Blizzard, é amplamente avaliado como trabalhando em nome do Serviço de Inteligência Estrangeira da Rússia, ou SVR. Pesquisadores do Grupo de Análise de Ameaças do Google, que rastreia hacking patrocinado por estados, disseram na quinta-feira que observaram o APT29 usando exploits idênticos ou muito semelhantes aos primeiros utilizados pelos vendedores comerciais de exploits NSO Group de Israel e Intellexa da Irlanda. Em ambos os casos, os exploits dos fornecedores comerciais de vigilância foram usados primeiramente como zero-days, ou seja, quando as vulnerabilidades não eram conhecidas publicamente e nenhuma correção estava disponível.
Idênticos ou surpreendentemente semelhantes
Uma vez que as correções estavam disponíveis para as vulnerabilidades, o TAG disse que o APT29 usou os exploits em ataques de watering hole, que infectam alvos ao plantar furtivamente exploits em sites que eles costumam visitar. O TAG disse que o APT29 usou os exploits como n-days, que visam vulnerabilidades que foram corrigidas recentemente, mas ainda não foram amplamente instaladas pelos usuários.
Redação Confraria Tech
Referências:
Commercial spyware vendor exploits used by Kremlin-backed hackers, Google says